Sårbarhet i Accellion File Transfer

En gruppering som amerikanska cybersäkerhetsföretaget Mandiant har namngett UNC2546 utnyttjar en eller flera nya zeroday-sårbarheter i Accellions produkt File Transfer Appliance (FTA). Denna sårbarhet har bl.a. använts för att exfiltrera information från företaget Qualys. Accellion släppte patchar för att åtgärda bristerna December 21, 2020 och Accellion meddelade att dessa brister upptäcktes eftersom de utnyttjas i en annan kunds miljö. Dock är denna produkt 20 år gammal och Accellion rekommenderar en migrering till Kiteworks som är en ombyggd produkt med ny kodbas.

Även värt att notera att FireEye har identifierat överlappningar mellan UNC2582, UNC2546 och FIN11 som är en välkänd gruppering som utför utpressningsattacker. Genom att utpressade organisationer betalar lösensummor så växer dessa kriminella organisationer större och har möjlighet att köpa in zero-days eller access till system.

Efter att sårbarheterna utnyttjas så laddas ett webbshell vid namn DEWMODE och om du vill hitta signaturer för detta shell så kolla här samt CISA:s alert.

Följande CVE:er har åtgärdats av Accellion:

Skärmdump från “CL0P^_- LEAKS” .onion med några av organisationerna som drabbats:

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>